230 likes | 496 Views
A SOX törvény alapjai és informatikai vonatkozásai. Dr. Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO’08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18. Tartalom. Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai
E N D
A SOX törvény alapjai és informatikai vonatkozásai Dr.Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO’08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18
Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai
Bevezetés • Bemutatkozás • Tapasztalatok szoftverfejlesztő cégek körében ismert szoftverminőségi megközelítésekről • Folyamat alapú megközelítések (ISO 9001:2000, (CMM), CMMI, Automotive Spice, AQAP…) • Termék alapú megközelítések (ISO 9126, CC…) • Tanúsítások • A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódni látszik ezekhez • Érdemes megvizsgálni a kapcsolódást! A SOX alapjai és informatikai vonatkozásai
Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai
Mi is a SOX? • Sarbanes-Oxley Act of 2002 • „An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes” • Előterjesztette: Paul Sarbanes szenátor és Michael G. Oxley kongresszusi képviselő • A befektetők érdekében született • Szigorú előírásokat ad: • A vállalkozások pénzügyi jelentéseire és ezek előállításával kapcsolatos ellenőrzési rendszerre • A jelentés megbízhatóságára és a kapcsolódó felügyeleti kötelezettségekre • Részletesen kitér az információs erőforrásokkal kapcsolatos műveletek szabályozására A SOX alapjai és informatikai vonatkozásai
Mi is a SOX? • Cél • A „testületi vezetés” erősítése és a befektetők bizalmának visszaállítása • Előzmények • A befektetőket megtévesztő / lakosságot megkárosító hamis pénzügyi jelentések, körbeszámlázás… • Enron, WorldCom, Texaco, Conseco, Suprema Specialities Inc…. • Securities Act of 1933 • Securities Exchange Act of 1943 • Kire vonatkozik • Az USA tőzsdén jelen levő cégekre • Különbséget tesz „nagy” és „kis” cég között • Az ellenőrzési rendszer megfeleléséért és a szükséges óvintézkedések megtételéért a tőzsdén szereplő vállalkozások első számú vezetője és a pénzügyi vezető a felelős A SOX alapjai és informatikai vonatkozásai
Mi is a SOX? • Kiemelt elemek a SOX-ban / a SOX-szal kapcsolatban • Új felelősségek az Igazgatótanács számára • Új felelősségek a tőzsdén jelen levő cégek vezetősége számára • Több hatalmat kap a SEC (Security and Echange Comission ~ USA Értékpapírforgalmat és a tőzsdét felügyelő bizottsága) • A SOX értelmében létrehozták a PCAOB-t az Rt.-k auditorainak felügyeletére (non-profit szervezet, US Public Company Accounting Oversight Board ~ USA Számviteli Felügyeleti Tanács) • Szigorú büntető intézkedések a törvény előírásait be nem tartóknak A SOX alapjai és informatikai vonatkozásai
Mi is a SOX? • Struktúra • Bevezetés • I. Public company oversight board (101.-109. szakasz) • II. Auditor independence (201.-209. szakasz) • III. Corporate responsibility (301.-308. szakasz) • IV. Enhanced financial disclosures (401.-409. szakasz) • V. Analyst conflict of interest (501. szakasz) • VI. Commission resources and authority (601.-604. szakasz) • VII. Studies and reports (701.-705. szakasz) • VIII. Corporate and criminal fault accountability (801.-807. szakasz) • IX. White-collar crime penalty enhancements (901.-906. szakasz) • X. Corporate tax returns (1001. szakasz) • XI. Corporate fraud and accountability (1101.-1107. szakasz) A SOX alapjai és informatikai vonatkozásai
Mi is a SOX? • Pontosan mit ír elő a SOX? Menedzsment 302. szakasz: A CEO/CFO Által kiadott „hitelesítés” Ellenőrzések és folyamatok Menedzsment és auditorok Belső ellenőrzés és pénzügyi jelentés Közzététel / beszámolók 404 szakasz: A felsővezetés éves jelentései és az auditor tanúsítása / hitelesítése Hivatkozás: 906. szakasz A SOX alapjai és informatikai vonatkozásai
Mi is a SOX? • Pontosan mit ír elő a SOX? • A felsővezető + pénzügyi vezető ne csak az anyag helyességét szavatolják (aláírásukkal), hanem az adatok helyességét biztosító ellenőrzési intézkedések, eljárások – a teljes ellenőrzési rendszer megfelelését • Feladatuk az ellenőrzési rendszer megtervezése, kialakítása, karbantartása • A jelentés elkészítése előtt 90 nappal mindig rendszeresen értékeljék a belső ellenőrzési rendszer célnak való megfelelését • Jelentsenek minden hiányosságot, mely negatívan befolyásolja a pénzügyi adatok • Rögzítését • Feldolgozását • Összegzését • Jelentését A SOX alapjai és informatikai vonatkozásai
Mi is a SOX? • Pontosan mit ír elő a SOX? • Gondolni kell a csalás minden lehetőségére, a csalásokat minden eszközzel meg kell akadályozni • A munkatársak ártó szándékkel ne törölhessenek vagy módosíthassanak adatokat • A feljegyzések, dokumentumok védelme A SOX alapjai és informatikai vonatkozásai
Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai
A SOX informatikai vonatkozásai • Az amerikai tőzsdén jelenlevő informatikai cégeknek önmagukra kell alkalmazni a törvényt, annak minden vonatkozásával • A cégek informatikai részlegei, tanácsadók, szoftvergyártók és –forgalmazók támogathatják a SOX-ot alkalmazó cégeket • Folyamatok kialakítása, dokumentálása • Belső ellenőrzési rendszer kialakítása • Dokumentumok, feljegyzések, információ védelmének biztosítása / garantálása • Dokumentumkezelő rendszerek • Informatikai biztonsági megfontolások • A cég üzleti folyamatait és a cégnek az üzleti életben való boldogulását támogató alkalmazói rendszerek • Minden szempontból vizsgált megbízható működés A SOX alapjai és informatikai vonatkozásai
A SOX informatikai vonatkozásai • Az alkalmazói rendszerek funkcionális megfelelőségéből és adataik érzékenységéből a törvény szerint eredő követelmények A SOX alapjai és informatikai vonatkozásai
A SOX informatikai vonatkozásai • Követelmények a cég dokumentációs rendszerére és az auditorok dokumentumkezelésére vonatkozóan A SOX alapjai és informatikai vonatkozásai
Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai
Hozzáférhető ellenőrzési keretrendszer • 2006: IS Control Objectives for Sarbanes-Oxley • A SOX követelményeinek informatikai oldali kezelésére 2006-ban • A 404. szakasz követelményeinek kielégítésére • COSO • ISACA ???? • 1985: Comission of Fraudulent Financial Reporting • 2003: a SEC javasolja a COSO-t = szabvány • 1992: COSO Framework : Internal Control • 2004: COSO Framework: Integrated Enterprise • COBIT • ITIL • ISO 27701 : Information Technology –Security techniques – Information security management systems - Requirements • CMMI A SOX alapjai és informatikai vonatkozásai
A COSO célja • Belső ellenőrzési keretrendszer leírása, amely • Egy közös … 2.4.3. fejezet, 3. oldal • A vállalati belső ellenőrzési rendszer a COSO értelmezésében • Ennelőrzési környezet • Kockézatbecslés • Ellenőrtési tevkenységek • Információ és kommunikáció • felügyelet A SOX alapjai és informatikai vonatkozásai
Hozzáférhető ellenőrzési keretrendszer • A COSO implementálása • A rajz hogy mit mivel támogatunk (felépül, több slide-on keresztül) A SOX alapjai és informatikai vonatkozásai
Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai
Hogyan támogatja a CMMI a SOX-ot? A SOX alapjai és informatikai vonatkozásai
Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai
Következtetések • A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódik ezekhez • …bár nem szoftverminőségi szabvány! • Sok más szabvány / megközelítés alkalmazása szükséges ahhoz, hogy a SOX-ból eredő követelmények informatikai vonatkozásait megértsük, alkalmazzuk A SOX alapjai és informatikai vonatkozásai